日本电子产品制造商佳能周一宣布了软件更新,修复了影响几种小型办公打印机型号的七个严重漏洞。
这些被描述为缓冲区溢出错误的问题可以通过网络进行远程代码执行 (RCE) 或导致易受攻击的产品变得无响应。
“这些漏洞表明,如果产品不使用路由器(有线或 Wi-Fi)直接连接到互联网,未经身份验证的远程攻击者可能能够执行任意代码能够瞄准该产品在通过互联网的拒绝服务 (DoS) 攻击中,”佳能指出。
这些漏洞被编号为 CVE-2023-6229 到 CVE-2023-6234 和 CVE-2024-0244。根据漏洞信息门户网站JVN 的数据,他们的 CVSS 得分为 9.8。
NIST 公告显示,这些漏洞是在 CPCA PDL 资源下载过程、地址簿密码过程、WSD 探测请求过程、地址簿用户名过程、SLP 属性请求过程、CPCA 颜色 LUT 资源下载过程和 CPCA PCFAX 号码等组件中发现的。
易受攻击的打印机型号因地区而异:欧洲为 i-SENSYS LBP673Cdw、MF752Cdw、MF754Cdw、C1333i、C1333iF 和 C1333P 系列,北美为 imageCLASS MF753CDW、MF751CDW、MF1333C、LBP674CDW 和 LBP1333C 系列;以及日本的 Satera LBP670C 和 MF750C 系列。
不过,对于所有型号,这些漏洞都会影响固件版本 03.07 及更早版本。可以在佳能的地区网站上找到解决这些错误的更新。
“目前还没有关于这些漏洞被利用的报告。然而,为了增强产品的安全性,我们建议客户安装适用于受影响型号的最新固件,”佳能在其欧洲支持网站上表示。
鉴于上述漏洞可以被远程利用,我们还建议客户限制对打印机的访问,将它们隐藏在防火墙或路由器后面,并为其设置私有 IP 地址。
转自安全客,原文链接:https://www.anquanke.com/post/id/293193
暂无评论内容